Masyarakat Amerika telah menginginkan undang-undang privasi federal selama bertahun-tahun tetapi upaya lobi intensif oleh industri teknologi dan ketidakmampuan umum oleh legislator federal kita secara berulang kali telah menghalangi keinginan tersebut. Nah, pada tahun 2024, mungkin kita akhirnya akan mendapatkan undang-undang privasi federal yang kuat.
FTC Baru Saja Mengatur Data Kesehatan
Saya akan mengatakannya lagi: mungkin. Juga, secara teknis mungkin bahwa katak bisa hujan dari langit di atas Lower Manhattan, melapisi warga New York dengan hujan semi musim semi dari usus amphibi, tetapi apakah itu benar-benar mungkin terjadi?
Undang-undang Hak Privasi Amerika 2024, yang baru saja diperkenalkan oleh Cathy McMorris Rodgers (R-WA) dan Maria Cantwell (D-WA), akan menciptakan perlindungan privasi digital dasar bagi warga Amerika. Undang-undang tersebut, jika disahkan, akan menciptakan berbagai perlindungan dan hak bagi konsumen, termasuk kemampuan untuk mengakses, mengendalikan, dan menghapus informasi yang dikumpulkan oleh perusahaan.
Meskipun itu mungkin terdengar seperti hal yang baik, ada satu aspek dari legislasi yang membuat para advokat privasi tampak khawatir. Undang-undang yang diusulkan akan menghilangkan perlindungan tingkat negara yang mungkin lebih kuat yang saat ini ada. Sementara kelompok-kelompok hak privasi tetap optimis secara hati-hati tentang potensi APRA, mereka juga waspada terhadap preempsi undang-undang negara. Jika regulasi yang saat ini diusulkan terlihat kuat, proses legislatif baru saja dimulai dan tidak ada yang bisa memastikan bagaimana undang-undang federal akan terlihat setelah proses pembuatan kebijakan yang panjang dan penuh perdebatan.
Berikut adalah sekilas tentang apa yang saat ini dijanjikan oleh undang-undang, dan apa yang dikatakan oleh advokat privasi. Hak untuk mengakses, mengendalikan, dan menghapus
Undang-undang Hak Privasi Amerika akan menciptakan perlindungan luas untuk data warga Amerika, memberikan konsumen kemampuan untuk mengakses, mengendalikan, dan menghapus data yang dicakup oleh undang-undang tersebut. Kebijakan ini akan memberikan semua warga Amerika kekuatan untuk meminta informasi dari entitas yang telah mengumpulkan data tentang mereka. Bisnis yang tercakup dalam undang-undang tersebut harus mematuhi permintaan konsumen dalam “jangka waktu yang ditentukan,” demikian disebutkan dalam rancangan undang-undang. Undang-undang ini memperbolehkan pengecualian tertentu dari mandat ini, termasuk bisnis kecil (yang didefinisikan sebagai perusahaan yang menghasilkan “kurang dari $40.000.000 dalam pendapatan tahunan” atau yang mengumpulkan, memproses, menyimpan, atau mentransfer “data yang dicakup dari 200.000 atau lebih individu”), serta pemerintah, dan “entitas yang bertindak atas nama pemerintah.”
Pengurangan data
Undang-undang juga akan memerintahkan sesuatu yang disebut “pengurangan data.” Ide di sini adalah untuk mengurangi jumlah informasi secara keseluruhan yang dapat dikumpulkan oleh perusahaan tentang pengguna web. Pendukung undang-undang mengatakan bahwa perusahaan yang tercakup oleh undang-undang tidak akan dapat “mengumpulkan, memproses, menyimpan, atau mentransfer data melebihi apa yang diperlukan, proporsional, atau terbatas untuk menyediakan atau mempertahankan produk atau layanan yang diminta oleh individu, atau menyediakan komunikasi yang dapat diantisipasi dengan sewajarnya dalam konteks hubungan, atau tujuan yang diizinkan.” Sekali lagi, meskipun terdengar baik, setan ada di rincian di sini, dan belum jelas sepenuhnya seperti apa pengurangan data semacam ini akan terlihat dalam kehidupan nyata.
Apa yang dimaksud dengan data yang dicakup?
Undang-undang mendefinisikan data yang dicakup oleh undang-undang tersebut sebagai berikut: “… informasi yang mengidentifikasi atau terkait atau secara wajar dapat dihubungkan dengan individu atau perangkat. Ini tidak termasuk data yang telah diidentifikasi kembali, data karyawan, informasi yang tersedia secara publik, inferensi yang dibuat dari beberapa sumber informasi yang tersedia secara publik yang tidak memenuhi definisi data yang dicakup yang sensitif dan tidak digabungkan dengan data yang dicakup, dan informasi dalam koleksi perpustakaan, arsip, atau museum yang tunduk pada batasan khusus.”
Mempertajam FTC
Penegakan undang-undang akan dilakukan baik di tingkat federal maupun negara. Terutama, Federal Trade Commission akan bertugas mengembangkan peraturan dan spesifikasi teknis untuk “mekanisme terpusat bagi individu untuk menjalankan” hak pilihan mereka, serta masalah teknis lain yang terkait dengan pelaksanaan undang-undang, demikian disebutkan dalam rancangan undang-undang. Pada saat yang bersamaan, undang-undang memberi wewenang kepada “Jaksa Agung Negara, pejabat perlindungan konsumen utama, dan pejabat lain dari Negara di pengadilan distrik federal” untuk mengejar tindakan penegakan hukum terhadap perusahaan yang melanggar undang-undang.
Menargetkan industri pialang data
Undang-undang juga menargetkan pialang data. Dalam undang-undang baru, FTC akan dimandatkan untuk mendirikan registri pialang data yang dapat digunakan oleh konsumen untuk mengidentifikasi perusahaan mana yang merupakan pialang dan untuk memilih keluar dari pengumpulan data oleh perusahaan-perusahaan tersebut. Semua pialang data yang mengumpulkan data tentang lebih dari 5.000 orang akan dipaksa untuk mendaftar ulang dengan registri federal setiap tahun. Pada saat yang bersamaan, pialang juga akan dipaksa untuk menjaga situs web mereka sendiri yang mengidentifikasi mereka sebagai pialang data dan mencakup alat bagi konsumen untuk memilih keluar.
Hak tindakan pribadi
Keinginan yang lama bagi advokat privasi adalah hak tindakan pribadi — yang merupakan mekanisme yang memungkinkan konsumen perorangan untuk menuntut perusahaan yang telah melanggar hak-hak privasi mereka. Sejumlah undang-undang privasi negara gagal menyertakan ini. Menurut versi terkini dari APRA, konsumen akan diberikan hak tindakan pribadi, memungkinkan mereka untuk mengajukan gugatan hukum terhadap perusahaan yang jelas-jelas melanggar hak privasi digital mereka.
Advokat privasi tetap optimis secara hati-hati
Setelah bertahun-tahun tidak melakukan tindakan kebijakan privasi oleh regulator federal, pemerintah negara bagian telah meloloskan sejumlah undang-undang privasi yang kuat selama dekade terakhir. Beberapa undang-undang tersebut, seperti CCPA California, sangat kuat. Undang-undang federal yang baru diusulkan secara terbuka mengakui bahwa akan menghilangkan “kumparan yang ada dari undang-undang privasi data komprehensif negara” dan mendirikan di tempatnya “mekanisme penegakan yang kuat untuk mempertanggungjawabkan pelanggar.” Fakta bahwa APRA akan memprestasi undang-undang negara membuat beberapa advokat privasi khawatir akan potensi undang-undang federal yang disederhanakan. Fakta bahwa APRA mungkin terlihat kuat sekarang tidak berarti banyak, karena bisa dengan mudah dilemahkan oleh para lobbi selama proses legislatif.
Caitriona Fitzgerald, direktur deputi di Electronic Privacy Information Center, mengatakan bahwa preempsi undang-undang federal terhadap regulasi tingkat negara hanya tepat jika akhirnya menjadi undang-undang yang kuat. “Dari sudut pandang kami — dalam dunia yang ideal — itu tidak akan memprestasi undang-undang negara, itu akan memungkinkan negara-negara untuk mengesahkan undang-undang yang lebih kuat,” kata Fitzgerald. “Kami menyadari bahwa kompromi diperlukan dan bahwa ini adalah titik penting. Jika undang-undang tersebut akan memprestasi undang-undang negara, itu harus lebih kuat dari undang-undang dan regulasi negara yang ada. Kami masih mengevaluasi rancangan undang-undang untuk menentukan apakah hal itu terjadi.”
Advokat privasi lainnya, seperti Surveillance Technology Oversight Project (STOP), menyatakan kekhawatiran serupa. “ADPPA memang menawarkan perlindungan privasi yang kuat, terutama aturan pengurangan data,” kata Will Owen, Direktur Komunikasi STOP. “Tetapi undang-undang ini gagal dengan memprestasi negara untuk mengambil tindakan yang lebih kuat, jika mereka mau. Yang terburuk dari semuanya, ADPPA memprestasi negara dari menegakkan perlindungan, meninggalkannya semata-mata kepada cabang eksekutif AS, yang yang belum tentu konsisten dalam menegakkan hak privasi warga Amerika.”
Cody Venzke, penasihat kebijakan senior di ACLU, mengatakan bahwa organisasinya tetap “mengkhawatirkan pengprestasian undang-undang ini yang luas terhadap undang-undang negara akan membekukan kemampuan kami untuk merespons tantangan yang berkembang yang ditimbulkan oleh teknologi.”